This is the Trace Id: 336f884573419fc7b18ae70a32c5f07a
Перейти до основного
Захисний комплекс Microsoft

Приєднуйтеся до панельної дискусії для керівників на конференції RSAC 24 березня: "Агенти ШІ серед нас! Ви готові?".

Зареєструватися

Посібник Microsoft із захисту підприємств, які використовують ШІ: безпека даних і керування ними

Завантажити посібник
Поділитися
Чоловік стоїть у костюмі на синьому фоні.

Огляд

Оскільки організації стрімко впроваджують ШІ в масштабах підприємства, безпека даних і керування ними стають невід’ємними та взаємопов’язаними складовими стійкості організації. Для передових компаній – організацій, які перебувають в авангарді ШІ-трансформації, – забезпечення можливості систем ШІ аналізувати великі обсяги даних вимагає тісної співпраці директорів з ІТ, директорів з інформаційної безпеки та фахівців, які працюють із даними. Без спільної відповідальності та узгоджених дій такі ризики, як витік даних, їх надмірне поширення та неналежне використання ШІ, зростають у геометричній прогресії.

Цей посібник детальніше розглядає попередні теми із серії Захист підприємств, які використовують ШІ, щоб компанії могли безпечно впроваджувати ШІ та отримувати максимальну віддачу від інвестицій.

Недоліки в системі керування

У деяких організаціях упровадження ШІ відбувається настільки швидко, що традиційні структури керування не встигають адаптуватися. За даними звіту корпорації Майкрософт Індекс безпеки даних, лише 47% організацій із різних галузей упровадили конкретні механізми захисту для генеративного ШІ1, що дає їм змогу отримати необхідну прозорість для безпечного впровадження ШІ. Що важливіше, згідно з результатами міжнародного опитування, проведеного компанією Hypothesis Group на замовлення корпорації Майкрософт за участі понад 1700 фахівців із безпеки даних, уже 29% працівників використовують тіньові агенти ШІ, щоб виконувати робочі завдання.2 Через це організації стикаються з новими викликами, пов’язаними з обробкою даних, видимістю стану безпеки та відповідністю вимогам, зокрема коли інструменти з генеративним ШІ взаємодіють із делікатними або неструктурованими даними.

Водночас керівники компаній реагують на ситуацію: дедалі більше організацій упроваджують спеціалізовані засоби керування для генеративного ШІ та збільшують інвестиції в технічні й операційні засоби захисту. Суть очевидна: успішне й безпечне впровадження ШІ можливе лише за наявності належної системи керування.

Єдина модель відповідальності: класифікація, позначення, захист, керування

Для ефективного керування даними потрібен чіткий розподіл обов’язків між директором з ІТ, директором з інформаційної безпеки, директором з управління даними та директором із питань конфіденційності. Проте в багатьох організаціях досі немає чіткого узгодження обов’язків із ролями. Щоб вирішити цю проблему, ми рекомендуємо єдину модель: класифікація, позначення, захист, керування.

Взаємозв’язки в системі керування, що демонструють чотири етапи: класифікація, позначення, захист, керування.
Взаємозв’язки в системі керування

1. Класифікація: забезпечення прозорості та відповідальності

Для ефективного керування потрібно мати чітке уявлення про наявні дані. Організації мають забезпечити повну видимість структурованих, неструктурованих і створених ШІ даних, зокрема можливість відстежувати нові агенти ШІ. Класифікація передбачає:

  • чітку й зрозумілу схему, пов’язану з ризиками для бізнесу;
  • визначених власників і розпорядників даних у різних підрозділах;
  • постійну інвентаризацію за підтримки ініціатив із виявлення даних під керівництвом директора з ІТ.

Класифікація закладає основу для наступних етапів.

2. Позначення: перетворення принципів керування на дієвий інструмент

Якщо класифікація визначає намір, то позначення забезпечує його реалізацію. Мітки делікатності пов’язують політику з реальним використанням, керуючи системами безпеки, дозволами та навіть взаємодією працівників із результатами роботи агентів ШІ.

Основними складовими цього етапу є:

  • упровадження технологій для належного позначення, що забезпечує активне спрацьовування політик безпеки й захисту від втрати даних на основі міток.
  • стратегія позначення, яка ґрунтується на оцінці ризиків і відображає вплив на компанію;
  • навчання працівників, яке чітко пояснює, коли та як застосовувати мітки.

3. Захист: упровадження заходів безпеки в дію

Захист – це етап, на якому політики стають ефективними захисними механізмами. Це передбачає:

  • забезпечення дотримання політик за допомогою таких механізмів, як керування доступом на основі ролей (RBAC), доступ за необхідності (JIT) і захист від втрати даних;
  • шифрування постійних і транзитних даних;
  • автоматичне відстеження надмірного поширення інформації та порушень політик;
  • розробку структурованих планів реагування на інциденти, які відповідають вимогам законів про конфіденційність.

Ці механізми гарантують захист делікатних даних, навіть коли інструменти із ШІ отримують до них доступ і обробляють їх у великих масштабах.

4. Керування: управління повним життєвим циклом даних

Керування – це безперервний процес. Організації мають забезпечити:

  • відповідність політик збереження й видалення даних принципам мінімізації;
  • постійне відстеження для виявлення змін у даних, неправильного позначення та підозрілих дій, пов’язаних із доступом;
  • автоматичне повторне підтвердження власників даних;
  • видимість агентів ШІ й керування ними у відділах ІТ, розробки та безпеки.

Керування життєвим циклом зменшує вектори атаки й сприяє тому, щоб використання даних приносило реальну цінність компанії.

Перспектива: керування командою, що складається з людей і агентів ШІ

Оскільки агенти ШІ беруть на себе все складніші робочі процеси, підходи до керування мають також розвиватися. Передові компанії впроваджують концепцію керівника агентів – нову роль, яка покладає на кожного працівника відповідальність за цифрових помічників, яких він розгортає.

Ці зміни ставлять нові завдання перед керівниками в галузі технологій.

Директори з ІТ.

Формування федеративної екосистеми ШІ, у якій підрозділи можуть безпечно створювати й розгортати агенти, використовуючи затверджені шаблони, під керівництвом Центру передового досвіду в галузі ШІ.

Директори з інформаційної безпеки.

Поширення принципів нульової довіри не лише на користувачів-людей, а й на автономні агенти. Це передбачає:
 

  • створення повного реєстру агентів та їхніх ідентичностей;
  • надання доступу за принципом мінімальних прав відповідно до завдання кожного агента;
  • відстеження поведінки агентів і застосування підходу "порушення вимог безпеки неминучі" під час їхньої взаємодії з делікатними даними.

Перехід до автономного підприємства можливий, лише якщо ці нові механізми керування доповнюються людською відповідальністю.

Перші 180 днів: спільний план дій для директорів з ІТ та директорів з інформаційної безпеки

Подорож починається зі структурованої дорожньої карти, яка допоможе керівникам з ІТ та безпеки впровадити систему керування ШІ на корпоративному рівні.

Перший тиждень: закладення основ
 

  • Формування єдиної схеми класифікації даних.
  • Визначення важливих ресурсів і вимог до безперервної роботи.
  • Узгодження стандартів створення та перевірки агентів ШІ.

Перші 90 днів: виявлення та визначення механізмів керування
 

  • Облік сценаріїв використання ШІ та відповідних джерел даних.
  • Аналіз ефективності захисту від втрати даних і виявлення недоліків у механізмах керування.
  • Створення єдиного реєстру ризиків і визначення пріоритетних пілотних сценаріїв використання.

Перші 180 днів: упровадження та перевірка
 

  • Упровадження нових міток і політик у пілотних підрозділах.
  • Розгортання автоматичного захисту від втрати даних для сценаріїв із високим рівнем ризику.
  • Проведення щомісячної наради управлінської ради для вдосконалення механізмів керування.

Цей план дій допомагає організаціям перетворити керування даними з функції забезпечення відповідності на стратегічний інструмент упровадження ШІ.

Підготовка підприємства до впровадження ШІ

Шлях до майбутнього на основі ШІ починається з надійної, спільної системи керування даними та їх безпеки. Узгодивши обов’язки директорів з ІТ та інформаційної безпеки, упровадивши єдину модель життєвого циклу та підготувавшись до роботи з гібридною командою, що складається з людей і агентів, організації можуть впевненіше й безпечніше використовувати всі можливості ШІ.

Настав час закласти ці основи.

Завантажити посібник

Більше схожих матеріалів

Група людей сидить на дивані, на фоні видно напис "NEW Cyber Pulse An AI Security Report".

Cyber Pulse: звіт про безпеку ШІ

Докладна інформація про розвиток агентів ШІ та шлях до їх відповідального й безпечного впровадження за допомогою механізмів моніторингу, керування та захисту.
Читати статтю
Обкладинка книги з текстом "Microsoft Security Strategies for Governing AI" та ілюстрацією чоловіка в зеленій сорочці, який сидить за столом із комп’ютером.

Стратегії керування ШІ

Практичні поради з формування довіри, зменшення ризиків, скорочення витрат і впровадження інновацій
Читати посібник
Малюнок білими лініями, що зображує листок у конверті з написом "New" (нове) на синьому фоні.

Отримати дайджест для керівників відділу ІТ-безпеки

Отримуючи електронні листи раз на два місяці, ви зможете випереджати зловмисників за допомогою аналітичних висновків від фахівців, відомостей про галузеві тенденції та даних досліджень у сфері кібербезпеки.
Підписатися
  1. [1]
    Звіт корпорації Майкрософт "Індекс безпеки даних" за 2026 р.: поєднання захисту даних та інновацій у галузі ШІ, Захисний комплекс Microsoft, 2026
  2. [2]
    Міжнародне опитування, проведене компанією Hypothesis Group на замовлення корпорації Майкрософт у липні 2025 року за участі понад 1700 фахівців із безпеки даних.

Підпишіться на новини про Захисний комплекс Microsoft